26 mar 2013

¿Phishing 2.0?

PhishingQue los usuarios caen en los phishings está claro. Es por eso que los criminales siguen usando este método para conseguir las credenciales de los usuarios.

Es una técnica que lleva años usándose y de vez en cuando se pueden ver tendencias nuevas.

Los phishing se caracterizaban por estar mal escritos y esos detalles junto con la concienciación a los usuarios en materia de seguridad de que no han de hacer caso hacen que disminuya el impacto en según que sector de usuarios.

Estaba navegando por los distintos RSS ( Goodbye Google Reader :( ),  me encontraba con una entrada que se llamaba Phishing 2.0.

Explicaban un caso muy curioso que me ha parecido muy original.

Imaginad que tenemos una web en la que hay un texto que tiene un enlace

Hasta aquí, todo normal.

Pero que pasaría si cuando este usuario clica en el link en realidad va parar a una página que no es la que aparece cuando el usuario pasa por encima con el ratón….

Pues esto se consigue con un código Javascript en uno de sus eventos.

la prueba de concepto es:

codigoCódigo

Cuando el usuario haga clic en el link, el usuario será redirigido hacia la web que quiera alguien con fines malévolos.

¿Como podemos solucionar esto?

Pues de la parte de developer, podríamos incluir controles del tipo, desactivar temas de “onclick” 

var headers = document.getElementsByTagName(‘h3′), i; for (i = 0; i < headers.length; i++) { if (headers[i].className === ‘r’) { headers[i].firstChild.onmousedown = null; } }

Y como usuarios pues no nos queda otra de usar addons que no permitan que te hagan una redirección.

Por ejemplo:

https://addons.mozilla.org/en-US/firefox/addon/redirector/

Estos son algunos consejos, para no caer en estas nuevas maneras de poder llegar a cometer phishing, o simplemente que nos infecten con un kit de Exploits.

No hay comentarios:

Publicar un comentario